Útok, počas ktorých používatelia nemôžu pristupovať k žiadnym iným zdrojom, sa nazývajú za útok DDOS, alebo problém "neúspechu". Hlavným rysom takýchto útokov hackerov je simultánnymi požiadavkami z veľkého počtu počítačov po celom svete a sú zamerané najmä na servery dobre chránených spoločností alebo vládnych organizácií, menej často - na jedno nekomerčné zdroje.

Počítač, ktorý sa stal infikovaný, sa stáva podobnosťou "zombie" a hackerov s použitím niekoľkých stoviek, a potom desiatky tisíc takýchto "zombie", spôsobujú zlyhanie zdrojov (odmietnutie udržiavať).

Dôvody útoku DDOS môže byť veľa. Pokúsme sa určiť najobľúbenejšie a zároveň odpovie na otázky: "DDOS útok - Čo je to, ako sa chrániť, aké sú jeho dôsledky a aké prostriedky sa vykonáva?"

Súťaž

Internet je dlhodobo zdrojom podnikateľských nápadov, implementácie veľkých projektov a iných spôsobov, ako zarobiť veľmi dosť veľké peniaze, takže DDOS útok môže byť urobený na objednávku. To znamená, že ak organizácia chce ju odstrániť v prípade konkurenta, potom je len kontaktovať Khakura (alebo na skupinu takýchto) s jednoduchou úlohou - paralyzovať prácu nechcenej spoločnosti prostredníctvom internetových zdrojov (DDO Útok na server alebo miesto).

V závislosti od špecifických cieľov a úloh je tento útok zriadený na určité obdobie a pomocou vhodnej sily.

Podvod

DDOS útok na stránke je organizovaný na iniciatíve hackerov, aby blokoval systém a prístup k osobným alebo iným dôležitým zdrojom. Potom, čo útočníci sú paralyzovaní systémom, môžu vyžadovať určité množstvo peňazí na obnovenie výkonu napadnutých zdrojov.

Mnoho internetoví podnikatelia súhlasí s predĺženými podmienkami, opodstatnením svojich činov dowsstáts v práci a prijímaní kolosálnych strát - je ľahšie zaplatiť malé množstvo ako podvodník, než stratiť významné zisky pre každý deň prestojov.

Zábava

Mnohí používatelia sú len kvôli zvedavosti alebo zábavu záujem: "DDOS útok - Čo je to a ako to urobiť?" Preto sú často prípady, keď začiatočníci votrelcov kvôli zábavu a vzorky organizujú takéto útoky na náhodné zdroje.

Spolu s dôvodmi, DDOS útoky majú svoje vlastné klasifikačné značky.

1. Šírka pásma. Dnes je takmer každé miesto počítača vybavené alebo lokálna sieťAlebo jednoducho pripojené k internetu. Preto existujú často prípady sieťovej povodeň - veľký počet žiadostí s nesprávnym spôsobom vytvoreným a nezmyselným systémom na špecifické zdroje alebo zariadenia s cieľom následného odmietnutia alebo zlyhania. pevné diskypamäte atď.).
2. Vyčerpávajúci systém. Takýto DDOS útok na SAMP SERVER sa vykonáva na zachytenie fyzická pamäťDoba procesora a iné systémové zdroje, kvôli nedostatku, ktorého napadnutý objekt jednoducho nie je možné plne pracovať.
3. Chladenie. Nekonečný test údajov a iné cykly pôsobiace "v kruhu" nútia objekt stráviť veľa zdrojov, čím sa spomína na úplné vyčerpanie.
4. Falošné útoky. Takáto organizácia je zameraná na falošnú reakciu systémov ochrany, ktorá v konečnom dôsledku vedie k zablokovaniu určitých zdrojov.
5. Protokol HTTP. Hackeri posielajú násilné balíky HTTP so špeciálnym šifrovaním, zdrojom, prirodzene, nevidí, že útok DDOS je organizovaný na ňom, program pre server, ktorý vykonáva svoju prácu, sa vzťahuje na balíky odpovedí oveľa väčšej kapacity, čím sa šírka pásma obete, ktorá opäť vedie k zlyhaniu služieb.
6. Útok na smourf. Toto je jeden z najnebezpečnejších druhov. Hacker cez vysielací kanál pošle obeť falošný balík ICMP, kde adresa obete je nahradená adresa útočníka a všetky uzly začínajú odoslať odpoveď na požiadavku Ping. Tento útok DDOS je program zameraný na použitie veľkej siete, t.j. žiadosť ošetrenú 100 počítačmi bude 100-krát posilnená.
7. Udp-povodne. Tento typ útoku je niečo podobné predchádzajúcemu, ale namiesto balíčkov ICMP, votrelci používajú pakety UDP. Podstatou tejto metódy je nahradiť IP adresu obete adresy hackerovej a plne stiahnuť šírku pásma, ktorá bude tiež viesť k zlyhaniu systému.
8. Prístavisko. Útočníci sa snažia súčasne spúšťať veľké množstvo TCP pripojení cez kanál SYN s nesprávnym alebo nie je povolený reverzná adresa. Po niekoľkých takýchto pokusoch najviac operačné systémy Vo fronte je problémové pripojenie nastavené a len po čísle pokusov o jeho zatvorenie. Stream syn kanálov je pomerne veľký, a čoskoro po rôznych takýchto pokusoch, jadro obete odmieta otvoriť akékoľvek nové pripojenie blokovaním prevádzky celej siete.
9. "Heavy balíčky". Tento druh dáva odpoveď na otázku: "Čo je server DDOS-ATTACK?" Hackeri posielajú pakety na užívateľský server, ale saturácia šírky pásma nevyskytuje, akcia sa zameriava len na čas spracovania. V dôsledku toho takéto pakety vedú k zlyhaniu v systéme, a to zase na svoje zdroje.
10. Protokolové súbory. Ak systém citácie a rotácie majú holý vrecúško, útočníci môžu posielať veľké v objeme balíkov, čím zaberajú všetky voľné miesto na tuhých číseách servera.
11. Kódovací kód. Hackeri s rozsiahlymi skúsenosťami môžu plne preskúmať štruktúru servera obete a spustenie špeciálnych algoritmov (DDOS útok - Explit Program). Takéto útoky sú zamerané najmä na dobre chránené obchodné projekty podnikov a organizácií rôznych oblastí a regiónov. Útočníci nájdu tyče v programovom kóde a spustite neplatný pokyny alebo iné výnimočné algoritmy, ktoré vedú k núdzovému zastaveniu systému alebo služby.

DDOS útok: Čo to je a ako chrániť

Metódy ochrany DDOS-útokom je veľa. A všetky z nich môžu byť rozdelené do štyroch častí: pasívne, aktívne, reakčné a preventívne. Čo budeme hovoriť ďalej.

Varovanie

Tu potrebujete zabrániť priamo samotným dôvodom, ktoré by mohli vyvolať útok DDOS. Tento typ možno pripísať niektorým osobným nepriateľstvom, právnym nezhodám, konkurencii a iným faktorom provokujúcim "zvýšená" pozornosť, vaše podnikanie atď.

Ak včas reagovať na tieto faktory a urobiť vhodné závery, možno sa vyhnúť mnohým nepríjemným situáciám. Tento spôsob možno pripísať skôr na problémy ako na technickú stránku tohto problému.

OPATRENIA ODPOVEĎ

Ak útoky na vaše zdroje pokračujú, je potrebné nájsť zdroj vašich problémov - zákazníka alebo umelca s použitím právnych a technických pák of expozície. Niektoré firmy poskytujú služby na nájdenie votrelcov technickým spôsobom. Na základe kvalifikácií špecialistov, ktoré sa zaoberali touto otázkou, nielen hackerom, ktorý vykonáva útok DDOS, ale aj priamo zákazník sám.

Ochrana softvéru

Niektorí výrobcovia hardvéru a softvéru spolu s ich produktmi môžu ponúknuť pomerne veľa efektívnych riešení a DDOS útok na stránke sa zastaví kŕmou. Samostatný malý server zameraný na boj proti malým a stredným DDOS útokom môže byť technickým obrancom.

Toto rozhodnutie je ideálne pre malé a stredné podniky. Pre väčšie spoločnosti, podniky a vládne agentúry, existujú celé hardvérové \u200b\u200bkomplexy na boj proti útokom DDOS, ktoré majú spolu s vysokou cenou, vynikajúce ochranné charakteristiky.

Filtrácia

Uzamykanie a dôkladné filtrovanie prichádzajúcej prevádzky umožní nielen znížiť pravdepodobnosť útoku. V niektorých prípadoch môže byť útok DDOS na serveri úplne vylúčený.

Môžete si vybrať dva hlavné spôsoby, ako filtrovať prevádzku - firewally a plné smerovanie na zozname.

Filtrovanie pomocou zoznamov (ACL) vám umožňuje znížiť sekundárne protokoly bez rušenia práce TCP a bez zníženia rýchlosti prístupu k chránenému zdroju. Avšak, ak hackeri používajú botnety alebo high-frekvenčné požiadavkyT. táto metóda Bude to neúčinné.

Je oveľa lepšie chrániť proti útokom DDOS, ale ich len mínus je, že sú určené len pre súkromné \u200b\u200ba neziskové siete.

Zrkadlo

Podstatou tejto metódy je presmerovanie celej prichádzajúcej prevádzky útočníka späť. Môžete to urobiť, s výkonnými servermi a kompetentnými špecialistami v prítomnosti, ktorá bude nielen presmerovať dopravu, ale budú môcť riešiť vybavenie útočníka.

Metóda nevyhrá, ak existujú chyby v systémových službách, programových kódoch a iných sieťových aplikáciách.

Hľadať zraniteľnosti

Tento typ ochrany je zameraný na opravu znepokojenia, chýb pri riešení problémov vo webových aplikáciách a systémoch, ako aj iné služby zodpovedné za sieťovú prevádzku. Metóda je zbytočná proti povodňovým útokom, ktoré sú zamerané na údaje zraniteľnosti.

Moderné zdroje

Záruka 100% ochrana Táto metóda nemôže. To vám však umožňuje efektívnejšie vykonávať iné udalosti (alebo komplexné), aby sa zabránilo útokom DDOS.

Distribúcia systémov a zdrojov

Duplikácia zdrojov a distribúcie systémov umožní používateľom pracovať s vašimi údajmi, aj keď v tomto momente sa na vašom serveri vykoná útok DDOS. Pre distribúciu môžete použiť rôzne serverové alebo sieťové zariadenia, a tiež sa odporúča, aby sa služby fyzicky zdieľali v rôznych duplicitných systémoch (dátumové centrá).

Takáto obranná metóda je dnes najúčinnejšia za predpokladu, že bol vytvorený správny architektonický dizajn.

Únik

Hlavným znakom tejto metódy je výstup a separácia napadnutého objektu (názov domény alebo IP adresy), tj všetky pracovné zdroje na tom istom mieste musia byť rozdelené a umiestnené na adries siete tretích strán, alebo dokonca na území iný štát. To vám umožní prežiť akýkoľvek útok a udržať vnútornú IT štruktúru.

DDOS-útoky na ochranu

Po rozprávaní všetkému o takomto útoku, ako útok DDOS (čo to je a ako sa s ním vysporiadať), môžeme konečne dať jednu dobrú radu. Mnohé veľké organizácie ponúkajú svoje služby, aby zabránili a zabránili takýmto útokom. Väčšinou takáto spoločnosti využívajú celý rad opatrení a rôznych mechanizmov, ktoré vám umožnia chrániť vaše podnikanie od väčšiny útokov DDOS. Odborníci a znalci tam pracujú, preto, ak je váš zdroj drahý, možnosť je optimálna (aj keď) odvolanie na jednu z takýchto spoločností.

Ako vykonať DDOS útok s vlastnými rukami

Je si vedomý, to znamená ozbrojený - správny princíp. Ale pamätajte, že úmyselná organizácia útokov DDOS je výlučne alebo skupina osôb - trestný čin, preto je tento materiál poskytnutý výlučne na oboznámenie.

Americkí IT hrozba Preventing Pracovníci vyvinuli program na testovanie stability serverových zaťažení a možnosť útočníkov DDOS útočníkov s následnou elimináciou tohto útoku.

Samozrejme, "horúce" mysle obrátili túto zbraň proti vývojárom sami a proti tomu, čo bojovali. Názov kódu produktu - LOIC. Tento program je bezplatný prístup av zásade nie je zakázaný zákonom.

Rozhranie a funkčnosť programu je celkom jednoduché, môže to využiť, že by sa mohol využiť záujem o útok DDOS.

Ako robiť všetko sami? V rozhranie ťahá, stačí vstúpiť obete IP, potom nastaviť toky TCP a UDP a počet požiadaviek. VOLA - Po stlačení chveného tlačidla sa útok začal!

Akékoľvek vážne zdroje prirodzene nebudú trpieť týmto softvérom, ale malé môžu zažiť nejaké problémy.

Qrator labs, špecializujúca sa na boj proti útokom DDO a prístup k internetovým zdrojom, zaznamenali skutočnosť vysokorýchlostných útokov DDO na najväčších webových zdrojoch pomocou memcache-založené amplifikačné techniky (softvér, ktorý implementuje službu ukladania údajov náhodný vstup do pamäťe Na základe hash tabuľky).

Od 23. februára do 27 rokov 2018 bola vlna Memcache valcovaná v celej Európe amplifikovaná útoky DDOS. Technika takéhoto útoku je počúvať UDP dopravných útočníkov podliehajúcich inštalácii predvolených parametrov memcache, to znamená, že povodňa UDP sa skutočne používa - odosielanie sady falošných paketov UDP na jednotku času zo širokej škály IP adresy.

Problémy s bezpečnosťou memcache sú známe aspoň od roku 2014, avšak v roku 2018 sa táto zraniteľnosť prejavila obzvlášť jasne: v noci z 25. februára, špecialisti Qrator Labs sledovali rad memcache amplifikovaných útokov DDOS na celom internete, vrátane útokov Rusko najväčšie sieťové zdroje.

V roku 2017 hovorila skupina výskumných pracovníkov z čínskeho tímu Okee o možnosti organizovania takýchto útokov, poukazujúcich na ich potenciálne deštruktívnu silu.

V priebehu posledných niekoľkých dní mnohé zdroje potvrdili skutočnosť útoku amplifikovaných odpovedí z prostriedkov MEMCACE, s útokmi odpovedí od DNS a NTP. Zdroje týchto spoofovaných útokov boli hlavným poskytovateľom OVH a veľký počet menších poskytovateľov internetu a hostiteľmi.

Jeden zo zákazníkov spoločnosti Qrator Labs - platobný systém QIWI potvrdzuje, že úspešne neutralizovaný útok 480 Gbps pásm / s UDP prevádzky na svojich zdrojoch z ohrozených zosilňovačov memcache.

"Moderné techniky pre implementáciu útokov DDOS nestojí. Stále častejšie opraviť vznik nových "broys" v infraštruktúre internetu, ktoré útočníci úspešne používajú na implementáciu útokov. Útoky Používanie Memcache, ktorej rýchlosť dosiahla niekoľko stoviek GB / s, sa potvrdilo, - pripomienky k generálnemu riaditeľovi a zakladateľom Qrator Labs Alexander Lyamin. - ZODPOVEDNOSŤ ZODPOVEDNÝCH ZDROJECH MEMCACHE NA INTERNOSTI A ROZHODNUTÍM A DOPLNITEĽNÝCH KONŠTRUKCIÍM KONŠTRUKCIÍM SPRÁVNATEĽOV AKTUÁLNEHO KONFIKÁCIU MEMCACHE, NIE JE ZAMESTNANIE O ŠPECIÁLNE ZARIADENIA. To vám pomôže vyhnúť sa počúvaniu celej prevádzky UDP odoslanej na server a znížiť pravdepodobnosť útokov DDOS. "

O qratorových laboratóriách

QRATOR laboratóriá - číslo jedna v DDoS conulling v Rusku (podľa IDC Rusko Anti-DDOS Trh 2016-2020 Prognóza a analýza 2015). Spoločnosť bola založená v roku 2009 a poskytuje služby proti záchvatom útokov DDO v komplexe s riešením WAF (Web Application Firewall) organizované partnerskou technológiou WALLARM. Aby sa účinne počítadlo útokov DDOS, QRATOR Labs používa vlastné globálne monitorovacie služby Qrator.RADAR. Filtračná sieť QRATOR je postavená na uzlach nachádzajúcich sa v USA, Rusku, EÚ a Ázii, ktorá spolu s vlastnými filtračnými algoritmami je konkurenčnou výhodou spoločnosti.

Táto organizácia okrem registrácie názvov domén v Zone.TR poskytuje aj hlavnú väzbu na turecké univerzity. Spolupracovníci anonymného obviňovania tureckého vedenia na podporu ISILE prevzali zodpovednosť.

Prvé známky DDO sa prejavili ráno 14. decembra, do poludnia, päť Nic.Tr Servery sa vzdali pod nápor odpadu dopravy s kapacitou až 40 GB / s. Problém tiež ovplyvnil zrelé koordinačné centrum, ktoré poskytuje alternatívnu infraštruktúru NIC.TR. Zástupcovia zrelých poznamenali, že útok bol modifikovaný takým spôsobom, aby obišiel o ochranu zrelých.

Veľké útoky DDOS sa stali najviac účinným spôsobom Vyčistite prácu webových služieb - náklady na útoky sa neustále znižujú, čo vám umožní zvýšiť výkon: za pár dva roky sa priemerná sila útoku DDOS zvýšila na štyri a je 8 GB / s. Pokiaľ ide o priemerné hodnoty útoku, národná oblasť domén Turecka vyzerá najvyššia, ale odborníci zdôrazňujú, že 400 GB / S úrovni DDOS-útoky sa čoskoro stane normou.

Jedinečnosť tureckého útoku je, že útočníci si vybrali správny cieľ: sústrediť sa na relatívne malý počet IP adries, boli schopní prakticky zlyhať infraštruktúru celej krajiny s využitím iba 40-gigabitovým útokom.

Turkishné národné reakčné centrum pre cyberincidentov zablokovalo všetku návštevnosť vstupu na servery NIC.TR z iných krajín, čo je dôvod, prečo sa všetky 400 tisíc tureckých lokalít stali neprístupnými a všetky správy e-mail sa vrátil k odosielateľom. Neskôr sa centrum rozhodlo zmeniť taktiku, ktorá vykonáva selektívne blokovanie podozrivých IP adries. DNS servery domén v oblasti .TR boli prekonfigurované na distribúciu požiadaviek medzi verejnými a súkromnými servermi, ktoré pomáhali tureckým poskytovateľom internetu Superline a Vodafone.

Napadnuté domény sa vrátili online v ten istý deň, ale mnoho stránok a poštové služby Niekoľko ďalších dní pracovalo s prerušením. Boli zranení nielen miestnych spoločností a vládnych organizácií, ale aj mnoho národných webových zdrojov, ktoré si vybrali doménové meno v Zone.TR; V agregácii je to asi 400 tisíc webových stránok, z ktorých 75% sú firemné. Turecká národná doména využíva aj vzdelávacie inštitúcie, obce a armáda.

Kým "Anonymous" nevytvorili vyhlásenie, mnoho vinylov v útoku DDOs Rusi - kvôli napätým vzťahom medzi Tureckom a Ruskom. Naraz boli ruskí hackeri z podobných dôvodov podozrivé zo zapojenia do rozsiahlych kybernetických útokov na Estónsku (2007), Gruzínsko (2008) a Ukrajine (2014). Niektorí odborníci zistili, že turecká reakcia DDOS na Rusi na útoku DDOS na turkish cybergroups na ruskej stránke "Satellite".

Anonymné vyhlásenie zbavilo hypotézu "Ruskej cesty" nadácie. Khakctivists tiež ohrozujú, že zaútočia na turecké letiská, banky, servery vládnych štruktúr a vojenských organizácií, ak Turecko nebude prestať pomáhať Igilovi.

Nestabilná ekonomická situácia posledných dvoch rokov viedla k výraznému zvýšeniu úrovne konkurenčného boja na trhu, v dôsledku čoho zvýšila popularita útokov DDOS - Účinná metóda Uplatňovanie ekonomických škôd.

V roku 2016 sa niekoľkokrát zvýšil počet obchodných príkazov na organizáciu útokov DDOS. Masívne útoky DDOS prešli z oblasti bodu politických vplyvov, ako to bolo napríklad v roku 2014 do masívneho obchodného segmentu. Hlavná úloha útočníkov je čo najrýchlejšie a s minimálnymi nákladmi na to, aby sa zdroj neprístupní na získanie peňazí od konkurentov, aby sa zabezpečilo, že podmienky vydierania atď. Útoky DDO sa používajú viac a aktívnejšie, čo stimuluje vyhľadávanie Pre čoraz viac rozsiahlych nástrojov na ochranu podnikania.

Zároveň sa počet útokov naďalej rastie, aj napriek výraznému úspechu v boji proti DDO. Podľa Qratorových laboratórií v roku 2015 sa množstvo útokov DDOS zvýšili o 100%. A nie je prekvapujúce, pretože ich náklady sa znížili na približne 5 dolárov za hodinu a ich implementačné nástroje išli na masívny čierny trh. Uvádzame niekoľko základných trendov distribuovaných útokov zameraných na odmietnutie zachovať, ktoré sa predpokladá na najbližších rokoch.

Attack UDP zosilnenie

Útoky zamerané na vyčerpanie kapacity kanálov zahŕňajú amplifikáciu UDP. Takéto incidenty boli najbežnejšie v roku 2014 a stali sa svetlým trendom roku 2015. Avšak, ich počet už dosiahol svoj vrchol a postupne ide k poklesu - zdroj na vykonávanie takýchto útokov nie je len konečným, ale tiež prudko znižuje.

Pod zosilňovačom sa rozumie verejná služba UDP, ktorá funguje bez autentifikácie, ktorá v malom dotaze môže byť odoslaná viac ako väčšia odpoveď. Útok na zaslanie takýchto žiadostí nahrádza svoju IP adresu IP adresu obete. Výsledkom je, že reverzná prevádzka, oveľa viac presahujúca šírku pásma útočníka, je presmerovaný na webový zdroj obete. Pre neplatnú účasť v útokoch, DNS, NTP-, SSDP- a iné servery sa používajú.

Útoky na webové aplikácie na L7

Vzhľadom k zníženiu počtu zosilňovačov do popredia opäť, organizovanie útokov na webových aplikáciách na úrovni L7 pomocou klasických botnetov. Ako viete, BOTNET je schopný vykonávať sieťové útoky na vzdialených príkazoch a majitelia infikovaných počítačov nemusia o ňom podozrenie. V dôsledku preťaženia služby "Trash" žiadostí o odvolanie legitímnych užívateľov neexistuje žiadna odpoveď bez odpovede alebo odpovede vyžadujú zbytočné ako veľké množstvo času.

Dnes sa botnets stávajú inteligentnou. Pri organizovaní vhodných útokov je podporovaná technológia zásobníka s plnou prehliadačkou, to znamená, že je plná emulácia vlastného počítača, prehliadača, java skriptu pracuje. Takéto techniky vám umožňujú dokonale zamaskovať útoky L7. Manuálne rozlišovanie topánok od užívateľa je takmer nemožné. To si vyžaduje, aby sa systémy využívali technológiu stroje na učenie, vďaka ktorej zvýšenie úrovne protiúpacích útokov, mechanizmy sa zlepšujú a presnosť testovania rastie.

BGP problémy

V roku 2016 sa objavil nový trend - útoky na infraštruktúru siete, vrátane na základe používania zraniteľnosti BGP. Problémy Smerovacieho protokolu BGP, ktorý je založený na celom internete, boli známe už niekoľko rokov, ale v posledných rokoch čoraz viac vedie k vážnym negatívnym dôsledkom.

Network Anomálie spojené s smerovaním na úrovni siete Mortoena sú schopné ovplyvniť veľký počet hostiteľov, sietí a dokonca aj globálnej konektivity a prístupnosti na internet. Najtypickejším druhom problémov je úniky trasy - "únik" trasy, ktorá vzniká v dôsledku jeho oznámenia nesprávnym smerom. Zatiaľ čo zraniteľnosť BGP sa zriedka používajú úmyselne: náklady na organizovanie takéhoto útoku sú pomerne vysoké a incidenty sa vyskytujú hlavne v dôsledku banálnych chýb v sieťových nastaveniach.

V posledných rokoch sa však rozsah organizovaných zločineckých skupín na internete výrazne zvýšila, preto podľa Qratorových laboratórií budú útoky súvisiace s problémami BGP populárne populárne už v blízkej budúcnosti. Jasný príklad je "únos" IP adries (únosný) známym tímom hackingového tímu Cyber \u200b\u200bCybergroup, ktorý sa vykonáva v rámci štátnej objednávky: Talianska polícia potrebná na kontrolu niekoľkých počítačov, pokiaľ ide o vlastníkov, z ktorých boli prijaté vyšetrovacie opatrenia.

IncidentyTcp.

Sieťový stoh systému TCP / IP má množstvo problémov, ktoré už v bežnom roku budú obzvlášť akútne. Aby sa zachoval rast aktívneho otáčok, musí byť internetová infraštruktúra neustále aktualizovaná. Rýchlosť fyzického spojenia na internet rastie každých pár rokov. Na začiatku 2000s. Štandard bol 1 Gbit / s, dnes najobľúbenejšie fyzické rozhranie je 10gbit / s. Avšak hmotnostné zavedenie nového štandardu fyzického kĺbu, 100 Gbit / S, ktorý vytvára problémy so zastaraným protokolom TCP / IP, nie je určený pre také vysoké rýchlosti.

Napríklad, je možné v priebehu niekoľkých minút, aby ste vybrali číslo sekvencie TCP - jedinečný numerický identifikátor, ktorý umožňuje (alebo skôr, povolené) TCP / IP partnermi vykonávať vzájomnú autentifikáciu v čase inštalácie dát pripojenia a výmeny , pri zachovaní ich objednávky a integrity. Pri rýchlosti 100 GB / s LINE v protokolových súboroch TCP servera o otvorenom pripojení a / alebo údajoch, ktoré boli odoslané nad ním, nezabezpečuje, že fixná IP adresa naozaj nainštalovala pripojenie a prenášané tieto údaje. V súlade s tým otvára možnosť organizovania nových útokov triedy a efektívnosť firewallov môže výrazne znížiť.

TCP / IP zraniteľnosti priťahujú pozornosť mnohých výskumných pracovníkov. Veria, že v roku 2016 budeme počuť o "hlasných" útokoch súvisiacich s prevádzkou týchto "diery".

V blízkosti

Dnes sa vývoj technológií a hrozieb nevyskytuje na "klasickej" špirále, pretože systém nie je uzavretý - existuje mnoho vonkajších faktorov. V dôsledku toho sa získa špirála s rozširujúcou amplitúde - stúpa, zvyšuje sa zložitosť útoku rastie a pokrytie technológie sa výrazne rozširuje. Poznamenávame niekoľko faktorov, ktoré majú vážny vplyv na vývoj systému.

Hlavný z nich je určite - migrácia na nový protokol o doprave IPv6. Koncom roka 2015 bol protokol IPv4 uznaný ako zastaraný, a IPv6 prichádza do popredia, čo s nimi prináša nové výzvy: Teraz každé zariadenie má IP adresu, a oni sa môžu priamo pripojiť. Áno, nové odporúčania sa objavujú o tom, ako by mali koncové zariadenia fungovať, ale ako sa priemysel vyrovnať so všetkými tým, najmä telekomunikačnými operátormi, segmentom hromadného produktu a čínsky dodávatelia, je otvorenou otázkou. IPv6 radikálne mení pravidlá hry.

Ďalšou výzvou je významný nárast mobilných sietí, ich rýchlostí a "vytrvalosti". Ak mobilný botnet vytvoril problémy, v prvom rade, prevádzkovateľ samotného komunikácie, teraz, keď sa 4G pripojenie stáva rýchlejším ako káblové internetu, mobilné siete s obrovským počtom zariadení, vrátane čínskej produkcie, sa transformuje na vynikajúcu platformu pre útoky DDO a hackerov. A problémy nevykonávajú nielen na telekomunikačnom prevádzkovateľovi, ale aj okrem iných účastníkov trhu.

Vážna hrozba je rozvíjajúcim sa svetom internetu vecí. Nové útočné vektory sa objavujú, pretože obrovské množstvo zariadení a používanie bezdrôtovej komunikačnej technológie sú otvorené pre hackerov skutočne neobmedzených perspektív. Všetky zariadenia pripojené k internetu sa môžu potenciálne stať súčasťou infraštruktúry votrelcov a zapojiť sa do útokov DDOS.

Bohužiaľ, výrobcovia všetkých druhov domácich spotrebičov pripojených k sieti (Ketty, televízory, autá, multi-meny, váhy, "inteligentné" zásuvky atď.) Nie vždy zabezpečiť správnu úroveň ich ochrany. V takýchto zariadeniach sa často používajú staršie verzie populárnych operačných systémov a dodávatelia sa nestarajú o ich pravidelnú aktualizáciu - nahradenie verzií, v ktorých sú zraniteľné miesta eliminované. A ak je zariadenie populárne a široko používané, hackeri nevynechá príležitosť využiť svoje zraniteľnosti.

Prípravky problémov s IOT sa objavili už v roku 2015 podľa predbežných údajov, posledný útok na Blizzard Entertainment sa uskutočnil pomocou zariadení triedy IOT. Bol zaznamenaný škodlivý kód, fungujúci na moderných čašniciach a žiarovkách. Úloha hackerov zjednodušuje chipsy. Nie je to tak dávno, lacná chipset bola uvoľnená, určená pre rôzne zariadenia, ktoré môžu "komunikovať" s internetom. Preto, útočníci nemusia hack 100 tisíc prispôsobeného firmvéru - stačí na "prestávku" jednu čipovú súpravu a prístup k všetkým zariadeniam, ktoré sú na ňom založené.

Predpokladá sa, že všetky smartfóny na základe starších android verziebude pozostávať z minimálneho botnetu. Všetky "Smart" zásuvky, chladničky a iné spotrebiče. Po niekoľkých rokoch čaká na botnet Ketty, Radionies a Multicurok. "Internet vecí" nás privedie nielen pohodlie a ďalšie príležitosti, ale aj veľa problémov. Keď veci v IOT budú mať veľa a každý kód PIN bude môcť poslať 10 bajtov, budú musieť byť vyriešené nové bezpečnostné výzvy. A toto by sa malo pripraviť dnes.

Úvod

Ihneď vykonať rezerváciu, že keď som túto recenziu napísal, som sa prvýkrát zameral na publikum, demontáž v špecifikách prevádzkovania telekomunikačných operátorov a ich prenosových sietí. Tento článok načrtáva základné zásady ochrany proti útokom DDO, históriu ich rozvoja v poslednom desaťročí a situácia je v súčasnosti.

Čo je DDO?

Pravdepodobne o tom, čo je DDOS útok, dnes vie, ak nie každý "užívateľ", potom v každom prípade - každý "to". Ale pár slov je potrebné povedať.

Útoky DDOS (distribuované odmietnutie servisu - Distributional CLUSTER CLUKCIE - Ide o útoky na počítačové systémy (sieťové zdroje alebo komunikačné kanály), zamerané na to, aby boli nedostupné pre legitímnych používateľov. Útoky DDO sú súčasne odoslané smerom k určitému zdroju veľkého počtu požiadaviek z jedného alebo mnohých počítačov nachádzajúcich sa na internete. Ak sa tisíce, desiatky tisícov alebo miliónov počítačov začne vysielať požiadavky na konkrétny server (alebo sieťovú službu), nebude ani nevydržaná server, alebo nemá dostatok komunikačného kanála šírky pásma na tento server. V oboch prípadoch užívatelia internetu nebudú môcť prístup k serveru na útočiaci server, alebo dokonca na všetky servery a iné zdroje pripojené prostredníctvom blokovaného komunikačného kanálu.

Niektoré funkcie útokov DDOS

Proti každému a za akým účelom sú DDOS útoky spustiť?

DDOS útoky môžu byť spustené proti akémukoľvek zdroju prezentovanému na internete. Najväčšie škody z DDOS-útokov dostávajú organizácie, ktorých podnikanie priamo súvisí s internetom - bankami (poskytovanie internetových bankových služieb), online nakupovanie, nákupy, aukcie, ako aj iné aktivity, činnosť a účinnosť, ktorej významne závisí od zastúpenia na internete (cestovné letecké spoločnosti, výrobcovia zariadení a softvér, atď.) Útoky DDO sa pravidelne spúšťajú proti zdrojom takýchto gigantov Svetový IT priemysel, ako IBM, Cisco Systems, Microsoft a ďalšie. Masívne útoky DDOS proti eBay.com, Amazon.com, mnoho slávnych bánk a organizácií boli pozorované.

Veľmi často sa DDOS útoky spustia proti webom zastúpeniam politických organizácií, inštitúcií alebo jednotlivých známych osobností. Mnohí ľudia vedia o masívnych a dlhodobých útokoch DDOS, ktoré boli spustené proti webovej stránke gruzínskeho prezidenta počas gruzínsko-osetianskej vojny z roku 2008 (webová stránka bola k dispozícii niekoľko mesiacov od augusta 2008), proti estónskym vládnym serverom (na jar 2007, počas nepokojov spojených s prevodom bronzového vojaka), o pravidelných útokoch segmentom Severokórejskej siete proti americkým stránkam.

Hlavnými cieľmi útoku DDOS sú buď extrakciou výhod (priamych alebo nepriamych) vydieraním a vydieraním, alebo prenasledovanie politických záujmov, vypúšťanie situácie, pomsty.

Aké sú mechanizmy spustenia DDOS-útoky?

Najobľúbenejší a nebezpečný spôsob, ako spustiť útok DDOS, je použitie botnetov (botnets). BOTNET je veľa počítačov, na ktorých sú nainštalované špeciálne softvérové \u200b\u200bzáložky (roboty), preložené z anglických botnets je sieť robotov. Boti sú zvyčajne navrhnuté hackermi individuálne pre každý botnet, a majú hlavný účel odosielania požiadaviek na konkrétny internetový zdroj na príkaz prijatom z botnet management servera - BOTNET Command a Control Server. Botnet Controller spravuje hacker, alebo osobu, ktorá si kúpila tento botnet z hacker a schopnosť spustiť útok DDOS. Boti sa vzťahujú na internet rôznymi spôsobmi, spravidla - útokmi na počítače, ktoré majú zraniteľné služby, a inštalovať softvérové \u200b\u200bzáložky, alebo oklamať užívateľov a donucovanie, aby inštalovali roboty pod rúškom iných služieb alebo softvéru, ktoré vykonávajú celkom neškodné alebo dokonca užitočná funkcia. Metódy šírenia robotov sú mnohé, nové spôsoby sú vynájdené pravidelne.

Ak je botnetný dostatočne veľký - desiatky alebo stovky tisíc počítačov - potom simultánne odosielanie zo všetkých týchto počítačov dokonca pomerne legitímne požiadavky v smere určitej sieťovej služby (napríklad webová služba na konkrétnej lokalite) bude mať za následok vyčerpanie zdrojov alebo samotného servisu alebo servera, alebo možnosti vyčerpania kanálov. V každom prípade bude služba nie je k dispozícii pre používateľov a majiteľ služby bude vzniknúť rovno, nepriame a repunačné straty. A ak každý z počítačov neposkyje jednu žiadosť a desiatky, stovky alebo tisíce požiadaviek za sekundu, potom nárazový útok sa zvyšuje mnohokrát, čo umožňuje dosahovať aj najproduktívnejšie zdroje alebo komunikačné kanály.

Niektoré útoky sú spustené viac "neškodných" spôsobov. Napríklad flash dav užívateľov určitých fór, ktoré po dohode spustilo v určitom čase "ping" alebo iných požiadaviek z ich počítačov na konkrétny server. Ďalším príkladom je umiestnenie odkazov na webovú stránku na populárnych internetových zdrojoch, čo spôsobí prítok používateľa na cieľový server. Ak "falošný" odkaz (externe vyzerá ako odkaz na jeden zdroj, a skutočne odkazuje na úplne iný server), sa vzťahuje na webovú stránku malých organizácií, ale je zverejnený na populárnych serveroch alebo fórach, takýto útok môže spôsobiť nežiaduce miesto prílevu návštevníkov na túto stránku., Útoky posledných dvoch typov zriedka vedú k ukončeniu dostupnosti serverov na riadne organizovaných hostingových lokalitách, ale tieto príklady boli a dokonca aj v Rusku v roku 2009.

Pomôžu to tradičné technické prostriedky ochrany pred DDOS-útokmi?

Funkcia DDOS-útoku je, že pozostávajú z rôznych simultánnych požiadaviek, z ktorých každý individuálne "je ľahko" ľahko ", navyše tieto otázky posielajú počítače (infikované robotmi), ktoré môžu byť celkom bežné, že patria k najbežnejším reálne alebo potenciálnych používateľov útočiacej služby alebo zdroja. Preto je veľmi ťažké identifikovať, že útok DDOS je správne identifikovaný a filter. Štandardné systémy IDS / IPS trieda (systém detekcie / detekcia / prevencia - systém detekcie / prevencia siete) nebude nájsť v týchto otázkach "zloženia zločinu", nechápe, že sú súčasťou útoku, pokiaľ nevykonávajú kvalitatívnu analýzu dopravy anomálie. A aj keď nájdu, potom zbytočné požiadavky nie sú tak jednoduché - štandardné firewally a smerovače filtrovanie premávky na základe dobre definovaných prístupových zoznamov (riadiacich pravidiel) a nevedia, ako sa "dynamicky" prispôsobiť profilu konkrétny útok. Firewally môžu nastaviť dopravné toky na základe kritérií, ako sú adresy odosielateľa. sieťové služby, porty a protokoly. Pravidelní užívatelia internetu sa však zúčastňujú na útoku DDO, ktoré posielajú požiadavky na najbežnejšie protokoly - nebude rovnaký prevádzkovateľom komunikácie, ktorý zakáže všetko a všetko? Potom jednoducho zastaví poskytovať komunikačné služby svojim účastníkom a prestane poskytovať prístup k sieťovým zdrojom obsluhe, ktorý v skutočnosti dosahuje iniciátor útoku.

Mnohí špecialisti si pravdepodobne uvedomujú existenciu špeciálnych riešení na ochranu pred útokmi DDOS, ktoré sú objavené anomáliou v premávke, budovanie dopravného profilu a profilu útoku a následný proces dynamického viacstupňového dopravného filtrovania. A budem hovoriť aj o týchto rozhodnutiach v tomto článku, ale trochu neskôr. A najprv bude opísaná o niektorých menej známych, ale niekedy celkom účinné opatrenia, ktoré možno prijať na potlačenie útokov DDO s existujúcimi prostriedkami dátovej siete a jej administrátorov.

Ochrana proti DDOS útokom dostupných prostriedkov

Existuje pomerne niekoľko mechanizmov a "triky", čo umožňuje v niektorých konkrétnych prípadoch potlačiť útoky DDOS. Niektoré môžu byť použité len vtedy, ak je dátová sieť postavená na zariadení konkrétneho výrobcu, viac či menej univerzálnych.

Začnime s odporúčaniami Cisco Systems. Špecialisti na túto spoločnosť odporúčame zabezpečiť sieťovú základnú ochranu na ochranu ochrany sieťovej nadácie, ktorá obsahuje ochranu úrovne správy siete (riadiaca rovina), úroveň správy siete (rovina riadenia) a úroveň údajov siete (dátové lietadlo).

Ochrana lietadla (správa riadenia)

Termín "úroveň administrácie" pokrýva všetku prevádzku, ktorá poskytuje riadiace alebo monitorovacie smerovače a iné sieťové zariadenia. Táto návštevnosť je odoslaná smerom k smerovaču, alebo pochádza z smerovača. Príklady takejto dopravy sú telnet, ssh a http (S) sedenie, syslog správy, SNMP-LADS. Medzi spoločné osvedčené postupy patrí:

Poskytovanie maximálnych bezpečnostných a monitorovacích protokolov bezpečnosti, používanie šifrovania a autentifikácie:

• protokol SNMP V3 poskytuje nástroje na ochranu, zatiaľ čo SNMP V1 prakticky neposkytuje, a SNMP V2 poskytuje len čiastočne - musí byť vždy zmenená hodnota Spoločenstva;
• mali by sa použiť rôzne hodnoty pre verejné a súkromné \u200b\u200bspoločenstvo;
• telnet Protocol prenáša všetky údaje, vrátane používateľského mena a hesla, v otvorenej forme (ak je prevádzka zachytená, tieto informácie sa dajú ľahko získať a používať), odporúča sa použiť protokol SSH V2 namiesto toho;
• podobne namiesto HTTP používajte HTTPS na prístup k zariadeniu, prísny kontrola prístupu k hardvéru vrátane primeraného hesla, centralizovaného autentifikácie, autorizácie a účtu (modelu AAA) a miestne autentifikácie na účely rezervácie;

Implementácia modelu prístupu role;

Riadenie povolených pripojení na zdrojovej adrese pomocou zoznamov riadenia prístupu;

Vypnite nevyužité služby, z ktorých mnohé sú v predvolenom nastavení povolené (alebo zabudli vypnúť po diagnostike alebo nastavení systému);

Monitorovanie využívania zdrojov zariadení.

V posledných dvoch bodoch stojí za to zostať podrobnejšie.
Niektoré služby, ktoré sú v predvolenom nastavení, ktoré sú aktivované, alebo ktoré zabudli vypnúť po nastavení alebo diagnostikovaní zariadení môžu byť použité votrelcami na obísť existujúce bezpečnostné pravidlá. Zoznam týchto služieb:

• Podložka (paket assembler / disassembler);

Prirodzene, pred vypnutím týchto služieb, musíte starostlivo analyzovať absenciu ich potreby vašej siete.

Je žiaduce monitorovať používanie zdrojov zariadení. To umožní najprv si všimnúť preťaženie jednotlivé prvky A prijať opatrenia na zabránenie nehodám a po druhé, detekovať útoky DDO a anomálie, ak ich detekcia nie je stanovená špeciálnymi prostriedkami. Minimálne sa odporúča monitorovať:

• zaťaženie procesora
• použitie pamäte
• nahrávanie rozhraní smerovačov.

Monitorovanie môže byť "manuálne" (pravidelne sledovať stav zariadenia), ale je lepšie, aby bolo lepšie robiť s špeciálnymi systémami monitorovania siete alebo monitorovania informačná bezpečnosť (Ten sa vzťahuje na Cisco Mars).

Kontrolná rovina (riadiaca rovina)

Úroveň správy siete zahŕňa všetku prevádzkovú prevádzku, ktorá zaisťuje fungovanie a konektivitu siete v súlade so špecifikovanou topológiou a parametrami. Príklady prevádzky na kontrolu dopravy sú: všetka prevádzka generovaná alebo určená na smerovanie procesor (procesor - rr), vrátane všetkých smerovacích protokolov, v niektorých prípadoch - sSH protokoly a SNMP, ako aj ICMP. Akýkoľvek útok na fungovanie procesu smerovania a najmä útokov DDO, môže znamenať významné problémy a prerušenia v prevádzke siete. Nižšie sú opísané najlepšie postupy na ochranu úrovne kontroly.

Kontrolné lietadlo policajt

Je potrebné použiť mechanizmy QoS (kvalita služby - kvalita služieb), aby poskytli vyššiu prioritu na úroveň kontroly kontrolnej úrovne ako prevádzka používateľa (ktorej časť sú útoky). Tým sa zabezpečí práca protokolov služieb a smerovacieho procesora, to znamená, že zachová topológia a pripojenie siete, ako aj správne smerovanie a prepínanie balíkov.

IP prijíma ACL

Táto funkcia umožňuje filtrovanie a kontrolu prevádzkovej prevádzky určenej pre smerovač a smerovanie procesora.

• to sa už aplikuje priamo na smerovacích zariadeniach predtým, ako premávka dosiahne smerovací proces, ktorý poskytuje "personalizované" ochranu zariadení;
• aplikované po uplynutí dopravy obvyklých riadiacich zoznamov prístupu - sú poslednou úrovňou ochrany na ceste do smerovacieho procesora;
• uplatňujú sa na všetku návštevnosť (a internú a externú a prepravu do siete operátora siete).

Infraštruktúra ACL

Zvyčajne, prístup k svojim vlastným adresám smerovača je potrebný len pre hostiteľov vlastného sieťového operátora siete, ale existujú výnimky (napríklad EBGP, GRE, IPv6 cez IPv4 a TAKMP ICMP). Zoznamy riadenia prístupu k infraštruktúre:

• zvyčajne nainštalovaný na hranici siete sieťového operátora ("pri vstupe do siete");
• sú určené na zabránenie prístupu k externým hostiteľom na adresu infraštruktúry prevádzkovateľa;
• poskytovať neoprávnenú tranzitovú dopravu cez hranicu sieťovej siete;
• poskytnite základné ochranné mechanizmy z neoprávnenej sieťovej aktivity, popísané v RFC 1918, RFC 3330, najmä proti spoofingovej ochrane (spoofing, s použitím falošných zdrojových IP adresy, aby sa zablokovalo, keď začnete útok).

Susedná autentifikácia.

Hlavným cieľom autentifikácie susedných smerovačov je zabrániť útokom s odkazom na falošné smerovacie protokoly na zmenu smerovania v sieti. Takéto útoky môžu viesť k neoprávnenému prenikaniu do siete, neoprávneného použitia. sieťové zdroje, ako aj skutočnosť, že útočník zachytí prevádzku, aby mohol analyzovať a získať potrebné informácie.

Nastavenie BGP.

• filtrovanie prefixov BGP (Filtre prefix BGP) - Používa sa tak, že informácie o vnútornej sieti komunikačného operátora nerozdeľujú internet (niekedy tieto informácie môžu byť pre útočníka veľmi užitočné);
• obmedzenie počtu predpony, ktoré môžu byť prijaté z iného smerovača (prefix limiting) - používa sa na ochranu proti útokom DDOS, anomáliám a neúspechom v pyringových partnerských sieťach;
• použitie parametrov komunity BGP a filtrovanie na nich je možné použiť aj na obmedzenie distribúcie informácií o trase;
• monitorovanie BGP a porovnanie údajov BGP s pozorovanou dopravou je jedným z mechanizmov na včasnú detekciu útokov a anomálie DDOS;
• filtrovanie podľa parametra TTL (časovo to-live) - používa sa na kontrolu partnerov BGP.

Ak sa útok na protokole BGP spustí z piringovej partnerskej siete, ale zo vzdialenejšej siete bude TTL parameter TTL na paketoch BGP menší ako 255. Môžete nakonfigurovať hraničné smerovače telekomunikačného operátora tak, aby zlikvidovali všetky BGP pakety s hodnotou TTL.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana údajov o údajoch (dátová rovina)

Napriek dôležitosti ochrany administratívnych a kontrolných úrovní je väčšina dopravy v sieti sieťovej siete dáta, tranzit alebo zistený pre účastníkov tohto operátora.

UNIKAST REPUČNÝCH PREDAJCOVOSTI (URPF)

Útoky sa často začínajú používať technológiu spoofingu (spoofing) - zdroj IP adresy sú falšované tak, že zdroj útoku nie je možné sledovať. Falšované IP adresy môžu byť:

• z skutočne použitého adresného priestoru, ale v inom segmente siete (v segmente, kde bol útok spustený, tieto falošné adresy nie sú smerovanie);
• z adresného priestoru nevyužité v tejto sieti;
• z adresného priestoru, ktorý nie je smerovaný na internete.

Implementácia na smerovače URPF mechanizmu bránia smerovaniu paketov so zdrojovým adresám, ktoré sú nekompatibilné alebo nevyužité v segmente siete, z ktorého vstúpili do rozhranie smerovača. Táto technológia môže niekedy účinne filtrovať nežiaducu dopravu najbližšie k jeho zdroju, to znamená, že je najúčinnejší. Mnohé útoky DDOS (vrátane slávnej siete Smurf a Tribal Wopless) používajú mechanizmus elektroinštalácie a neustálu zmenu zdrojových adries na oklamať Štandardné prostriedky Ochrana a filtrácia.

Pomocou mechanizmu URPF prostredníctvom telekomunikačných operátorov, ktorí poskytujú účastníci prístup k internetu, účinne zabraňujú útokom DDOS pomocou spoofingovej technológie, ktorú riadili vlastnými predplatiteľmi proti internetovým zdrojom. DDOS útok je teda potlačený svojím zdrojom, ktorý je najefektívnejší.

REMOTENET spúšťal Blackholes (RTBH)

REMOTENET spustené Blackholles sa používajú na "Drop" (zničenie, odosielanie "do Nowhere") Dopravu vstupu do siete smerovaním tejto premávky na špeciálne null 0 rozhrania. Táto technológia sa odporúča používať na hranici siete na resetovanie útoku DDOS- pri zadávaní do siete. Obmedzenie (a nevyhnutné) tejto metódy je, že sa aplikuje na všetku návštevnosť určenú pre určitý hostiteľa alebo hostiteľov, čo je cieľom útoku. Túto metódu sa teda môže použiť v prípadoch, keď je masívny útok vystavený jednému alebo viacerým hostiteľom, čo spôsobuje problémy nielen pre napadnutých hostiteľov, ale aj pre ostatných účastníkov a sieťových sietí siete všeobecne.

Čierne otvory môžu byť riadené ručne aj cez BGP protokol.

QoS Propagácia politiky prostredníctvom BGP (QPPB)

QoS Control cez BGP (QPPB) sa spoja na riadenie prioritných politík pre dopravu určenú pre konkrétny autonómny systém alebo blokové adresy IP. Tento mechanizmus môže byť veľmi užitočný pre telekomunikačných operátorov a veľkých podnikov, vrátane riadiť prioritné úrovne pre nechcenú dopravu alebo dopravu obsahujúcu útok DDOS.

Umývadlá.

V niektorých prípadoch sa nevyžaduje úplne odstrániť prevádzku pomocou čiernych otvorov, ale odstrániť ho od hlavných kanálov alebo zdrojov na následné monitorovanie a analýzu. Je to za to, že "ťuknite kanály" alebo umývadlá sú určené.

Umývacie otvory sú najčastejšie používané v nasledujúcich prípadoch:

• ak chcete odstrániť na strane a analýzu premávky s adresy destinácie, ktoré patria do adresného priestoru siete sieťovej siete, ale zároveň nie sú použité (ani zariadenia alebo používatelia neboli zvýraznené); Takáto prevádzka je priori podozrivá, pretože často svedčí o skenovaní alebo preniknutí vašej siete útočník, ktorý nemá žiadne podrobné informácie o svojej štruktúre;
• presmerovať prevádzku z účelu útoku, ktorý skutočne funguje v sieti prevádzkovateľa zdrojov, na jeho monitorovanie a analýzu.

Ochrana DDO pomocou špeciálnych prostriedkov

Cisco Clean Pipes Concept - priemysel šport

Moderný koncept ochrany pred DDOS-útokom sa vyvinula (áno, áno, nie ste prekvapení! :)) Cisco Systems Company. Vyvinutý spoločnosťou Cisco Concept sa nazýval Cisco Clean Rúrky ("Purifikované kanály"). V koncepcii vyvinuté takmer pred 10 rokmi, základné princípy a technológie ochrany pred abnormálnymi abnormalitami v premávke, z ktorých väčšina sa používajú dnes, vrátane iných výrobcov, boli podrobne opísané.

Cisco Clean Pipes Concept naznačuje nasledujúce DDOS útoky na detekciu a potlačenie princípy.

Body sú vybrané (sieťové stránky), dopravy, v ktorom sa analyzuje na identifikáciu anomálií. V závislosti od skutočnosti, že s takýmito bodmi môžeme chrániť, môže existovať pyringové spojenia komunikačného operátora s vynikajúcimi operátormi, spojovacími bodmi spodných vyhlásení alebo predplatiteľov, kanály pre pripojenie dátových centier do siete.

Špeciálne detektory analyzujú návštevnosť v týchto bodoch, budovať (študovať) dopravný profil v jeho normálnom stave, keď sa objaví útok DDOS alebo anomálii - detekujte ho, štúdie a dynamicky tvoria jeho vlastnosti. Ďalej sa informácie analyzujú operátorom systému av poloautomatickom alebo automatickom režime sa spustí proces potlačenia útoku. Potlačenie je, že prevádzka určená pre "obeť" sa dynamicky presmeruje cez filtračné zariadenie, na ktorom sa na túto dopravu používajú filtre tvorené detektorom a odrážajúcim individuálny charakter tohto útoku. Purifikovaná návštevnosť je zapísaná do siete a odoslaná príjemcovi (pretože čisté potrubia pochádza - účastník prijíma "čistý kanál", ktorý neobsahuje útok).

Teda celý cyklus ochrany útoku DDOS zahŕňa nasledujúce hlavné etapy:

• Charakteristika kontrolnej odbornej prípravy (profilovanie, základné učenie)
• Detekcia a anomálie (detekcia)
• Presmerovanie distribúcie prejsť cez čistiace zariadenie (odklon)
• Filtrovanie dopravy na potlačenie útokov (zmiernenie)
• Zadajte návštevnosť späť do siete a odosielanie adresátov (injekcie).

N základné funkcie.
Ako detektory môžu byť použité dva typy zariadení:

• Cisco Systems Production Detektory - Cisco Dopravné služby ANOMALY SLUŽBY SERVICE MODULY SERVICKÉ MODULY URČENÉ PRE INŠTALÁCIE V CISCO 6500/7600 Podvozok.
• Arbor Networks Detektory výroby - Arbor Peakflow SP CP zariadenia.

Nižšie je tabuľka porovnávacia detektormi Cisco a Arbor.

Parameter	Detektor ANOMALY CISCO DOPRAVA	Arbor Peakflow SP CP
Prijímanie dopravných informácií na analýzu	Kópia prevádzky pridelenej na podvozku Cisco 6500/7600	Netflow-Data o návštevnosti prijatej z smerovačov je dovolené nastaviť vzorku (1: 1, 1: 1 000, 1: 10 000 atď.)
Použité princípy detekcie	Analýza alarmu (zneužitá detekcia) a detekcia anomálií (dynamickýprofilovanie)	Hlavne detekciu anomálií; Používa sa anaraldová analýza, ale podpisy sú všeobecné
Tvar	servisné moduly v podvozku Cisco 6500/7600	samostatné zariadenia (servery)
Výkon	Testovacia prevádzka do 2 Gbps	Prakticky neobmedzené (môžete znížiť rýchlosť odberu vzoriek)
Škálovateľnosť	Inštalácia do 4 modulovCisco.DetektorSM. Jeden podvozok (moduly však konajú nezávisle od seba navzájom)	Schopnosť používať viacero zariadení v rámci jedného analytického systému, z ktorých jeden je priradený k statusu vodcu
Monitorovanie dopravy a smerovania	Funkčnosť je prakticky neprítomná	Funkčnosť je veľmi rozvinutá. Mnoho telekomunikačných operátorov kúpiť Arbor Peakflow SP kvôli hlbokej a vyvinutej funkčnej oblasti na monitorovanie dopravy a smerovanie v sieti
Poskytovanie portálu (individuálne rozhranie pre účastníka na monitorovanie iba relatívnej časti siete priamo na ňu)	Neboli poskytnuté	Poskytnuté. Je to vážna výhoda tohto riešenia, pretože komunikačný prevádzkovateľ môže predávať individuálne služby ochrany DDO svojim účastníkom.
Kompatibilné zariadenia na čistenie dopravy (potlačenie útoku)	Cisco. Modul strážnej služby.	Arbor Peakflow Sp TMS; Modul Cisco Guard Services.
	Ochrana dátových centier (Dátové centrum) Pri pripájaní na Internet Monitorovanie nadväzujúcich pripojení účastníckych sietí do siete operátora siete	Detekcia útokovupiecť- Prevádzkovateľ siete pripojení do sietí vyšších poskytovateľov Monitorovanie prevádzkovateľa siete

Posledný riadok tabuľky ukazuje použitie cisco detektorov a od altánok, ktoré boli odporúčané spoločnosťou Cisco Systems. Kvalitné údaje sa odrážajú v nasledujúcej schéme.

Ako Cisco Dopravné zariadenie sa odporúča použiť modul Cisco Guard Service, ktorý je nainštalovaný v podvozku Cisco 6500/7600 a príkaz dostal z detektora detektora Cisco alebo s Arbor Peakflow SP CP je dynamická presmerovanie, čistenie a Reverzný vstup dopravy do siete. Presmerovacie mechanizmy sú buď aktualizované BGP smerom k vyšším smerovačom alebo priamych manažérov voči supervízoru pomocou proprietárneho protokolu. Pri použití aktualizácií BGP je upstream router indikovaný novým nex-hopovou hodnotou pre dopravu obsahujúcu útok - takže táto návštevnosť spadá na čistiaci server. Zároveň je potrebné dbať na to, aby sa tieto informácie nezahŕňali organizáciu slučky (takže downstream router sa nesnaží túto dopravu dokončiť na čistiacom zariadení pri vstupe do jej vyčistenia). Na tento účel mechanizmy na kontrolu distribúcie aktualizácií BGP podľa parametra Spoločenstva alebo používania gre-tunelov pri vstupe do vyčistenej prevádzky.

Takýto stav existoval, kým Arbor siete výrazne rozšírili produktovú radu Peakflow SP a nechodili na trh s úplne nezávislým rozhodnutím o ochrane proti útokom DDOS.

Arbor Peakflow SP TMS Vzhľad

Pred niekoľkými rokmi sa siete Arbor rozhodli rozvíjať svoju produktovú radu na ochranu pred útokmi DDOS na vlastnú a bez ohľadu na tempo a politiku rozvoja tohto smeru od spoločnosti Cisco. Riešenia Peakflow SP CP majú základné výhody oproti detektoru Cisco, pretože analyzovali prietokové informácie s možnosťou regulácie frekvencie vzorky, čo znamená, že neexistovali žiadne obmedzenia týkajúce sa používania komunikačných operátorov v sieťach a na kanáloch trupu (na rozdiel od Cisco Detektor, ktorý analyzuje dopravnú kópiu). Okrem toho bola vážna výhoda Peakflow s možnosťou pre prevádzkovateľov predávať individuálne monitorovacie služby pre účastníkov a chrániť svoje sieťové segmenty.

Vzhľadom na tieto alebo iné úvahy, Arbor výrazne rozšíril produktovú radu Peakflow SP. Zobrazilo sa niekoľko nových zariadení:

Peakflow SP TMS (systém riadenia hrozieb) - Dodávky DDOS útokov pomocou viacstupňového filtrovania na základe údajov získaných z Peakflow SP CP a z Asert Lab, vlastnené sieťami a monitorovaním a monitorovaním a analýzou DDOS na internete;

Peakflow SP BI (Business Intelligence)- Zariadenia poskytujúce škálovanie systému, zvýšenie počtu logických objektov, ktoré sa majú monitorovať a poskytovať redundanciu zozbieraných a analyzovaných údajov;

Peakflow Sp PI (portálové rozhranie)- Zariadenia poskytujú zvýšenie účastníkov, ktorí sú vybavené individuálnym rozhraním na riadenie vlastnej bezpečnosti;

Peakflow SP FS (prietoková cenzúra)- Zariadenia, ktoré zabezpečujú monitorovanie účastníckych smerovačov, spojenia s nižšími sieťami a centrami spracovania údajov.

Princípy prevádzky Arbor Peakflow SP systému zostali hlavne rovnaké ako Cisco čisté rúry, ale Arbor pravidelne vyvíja a zlepšuje ich systémy, takže v súčasnosti je funkčnosť Arborových produktov v mnohých parametroch lepšia ako Cisco, vrátane výkonu.

Randiť, maximálny výkon Cisco Guard Modey, ktoré sa majú dosiahnuť vytvorením zoskupenia 4 strážnych modulov v jednej Cisco 6500/7600 podvozku, zatiaľ čo plné zoskupenie týchto zariadení nie je implementované. Zároveň majú horné modely Arbor Peakflow SP TMS kapacitu až 10 GB / s, a potom môžu zoskusnežovať.

Po tom, čo Arbor začal postaviť sa ako nezávislého hráča na trhu s odhaľovaním a potlačením DDOS-útokov, Cisco začal hľadať partnera, ktorý by ho poskytol ako potrebné monitorovanie údajov o prietoku na sieťovej prevádzke, ale to by nebolo priame konkurent. Takáto spoločnosť sa stala Narus, ktorá vytvára systém monitorovania databázy dát (NURUSIGHTIGHT) a vstúpil do partnerstva s systémami Cisco. Toto partnerstvo však nedostalo vážny rozvoj a prítomnosť na trhu. Okrem toho, podľa niektorých správ Cisco neplánuje investovať do svojich Cisco detektora a Cisco Guard Solutions, v skutočnosti, že tento výklenok pre spoločnosť spoločnosti Arbor siete.

Niektoré vlastnosti riešení Cisco a Arbor

Stojí za zmienku nejaké vlastnosti Cisco a Arbor Riešenia.

1. Cisco Guard môže byť použitý v spojení s detektorom a nezávisle. V druhom prípade je nainštalovaný v riadnom režime a vykonáva funkcie detektora analyzujúcej prevádzku, av prípade potreby zapne filtre a vyčistiť prevádzku. Mínus tohto režimu je, že najprv sa pridáva ďalší bod potenciálne zlyhanie a po druhé, dodatočné dopravné oneskorenie (hoci je malý, pokiaľ je zapnutý filtračný mechanizmus). Odporúča sa pre režim Cisco Guard - čaká na príkaz na presmerovanie prevádzky obsahujúcej útok, filtrovanie a zadanie späť do siete.
2. Arbor Peakflow SP TMS zariadenia môžu tiež fungovať ako v režime off-rampy a v režime in-line. V prvom prípade zariadenie pasívne očakáva, že príkaz presmerovať dopravu, ktorá obsahuje útok na čistenie a zadanie späť do siete. V druhom, on preskočí cez všetku návštevnosť, vyrába údaje na základe ARBORLOW na základe IT a prenáša im do Peakflow SP CP na analýzu a detekciu útokov. Arborflow je formát podobný spoločnosti Netflow, ale vylepšené Arbor pre svoje systémy Peakflow SP. Monitorovanie dopravy a detekciu útokov vykonáva Peakflow SP CP založenú na údajoch Arborflow získaných z údajov TMS. Keď je zistený útok, operátor Peakflow SP CP dáva príkaz na jeho potlačenie, po ktorom TMS zapne na filtroch a vymaže prevádzku z útoku. Na rozdiel od Cisco, PEAKFLOFFLOW SP TMS Server nemôže pracovať nezávisle, vyžaduje si server PEAKFLOFFLOW SP CP na prácu, ktorá vykonáva analýzu dopravy.
3. Väčšina špecialistov dnes súhlasí s tým, že úlohy ochrany miestnych oblastí siete (napríklad pripojenie CD alebo pripojenie nadväzujúcich sietí)